ТБ-Форум 2022. Конференция «Актуальные вопросы защиты информации». Д. Шевцов:
Выступление по теме «Совершенствование требований по технической защите информации».
Основные недостатки при подготовке ИС к аттестации и непосредственно аттестации:
— Невыполнение требований ТЗ.
— Применение несертифицированных СрЗИ там, где обязательно применение сертифицированных СрЗИ.
— Невыполнение со стороны органов по аттестации работ по выявлению уязвимостей и тестированию на проникновение в ходе проведения аттестационных мероприятий.
Выступление по теме «Совершенствование требований по технической защите информации».
Основные недостатки при подготовке ИС к аттестации и непосредственно аттестации:
— Невыполнение требований ТЗ.
— Применение несертифицированных СрЗИ там, где обязательно применение сертифицированных СрЗИ.
— Невыполнение со стороны органов по аттестации работ по выявлению уязвимостей и тестированию на проникновение в ходе проведения аттестационных мероприятий.
ТБ-Форум 2022. Конференция «Актуальные вопросы защиты информации». Д. Шевцов:
Выступление по теме «Совершенствование требований по технической защите информации».
Анонсирована разработка Требований по безопасности к средствам контейнеризации.
Выступление по теме «Совершенствование требований по технической защите информации».
Анонсирована разработка Требований по безопасности к средствам контейнеризации.
ТБ-Форум 2022. Конференция «Актуальные вопросы защиты информации». Д. Шевцов:
Выступление по теме «Совершенствование требований по технической защите информации».
Лицензиатам ФСТЭК России настоятельно рекомендовано ознакомиться и приобрести оригиналы этих утверждённых национальных стандартов https://xn--r1a.website/cyberconf/6372
Выступление по теме «Совершенствование требований по технической защите информации».
Лицензиатам ФСТЭК России настоятельно рекомендовано ознакомиться и приобрести оригиналы этих утверждённых национальных стандартов https://xn--r1a.website/cyberconf/6372
Telegram
ISACARuSec in Cyberconf
ТБ-Форум 2022. Конференция «Актуальные вопросы защиты информации». И. Гефнер:
Доклад на тему «Практика реализации методики оценки угроз безопасности информации».
Типовые недостатки по представленным моделям угроз:
• Не в полной мере оцениваются нарушители и негативные последствия.
• Внутренние пользователи не признаются актуальными нарушителями.
• Не в полном объёме представляется описание сценариев реализации угроз безопасности информации.
• Не оцениваются угрозы безопасности, связанные с технологией контейнеризации.
• Не оцениваются угрозы для ЦОД (если ИС размещается в ЦОД).
Доклад на тему «Практика реализации методики оценки угроз безопасности информации».
Типовые недостатки по представленным моделям угроз:
• Не в полной мере оцениваются нарушители и негативные последствия.
• Внутренние пользователи не признаются актуальными нарушителями.
• Не в полном объёме представляется описание сценариев реализации угроз безопасности информации.
• Не оцениваются угрозы безопасности, связанные с технологией контейнеризации.
• Не оцениваются угрозы для ЦОД (если ИС размещается в ЦОД).
⚡️ТБ-Форум 2022. Конференция «Актуальные вопросы защиты информации». И. Гефнер:
Доклад на тему «Практика реализации методики оценки угроз безопасности информации».
Модель угроз можно и нужно вести в электронном виде.
Что, в целом, не противоречит и предусмотрено в самой Методике.
Доклад на тему «Практика реализации методики оценки угроз безопасности информации».
Модель угроз можно и нужно вести в электронном виде.
Что, в целом, не противоречит и предусмотрено в самой Методике.
ТБ-Форум 2022. Конференция «Актуальные вопросы защиты информации». И. Гефнер:
Доклад на тему «Практика реализации методики оценки угроз безопасности информации».
Планируемые изменения в Методику оценки угроз безопасности информации:
— Корректировка подхода моделирования угроз при размещении ИС на инфраструктуре поставщика соответствующих услуг.
— Уточнение процедуры определения негативных последствий.
— Уточнение процедуры определения объектов воздействия.
— Изменение процедуры определения актуальных угроз.
— Автоматизация процесса формирования перечня возможных угроз.
— Доработка БДУ.
Доклад на тему «Практика реализации методики оценки угроз безопасности информации».
Планируемые изменения в Методику оценки угроз безопасности информации:
— Корректировка подхода моделирования угроз при размещении ИС на инфраструктуре поставщика соответствующих услуг.
— Уточнение процедуры определения негативных последствий.
— Уточнение процедуры определения объектов воздействия.
— Изменение процедуры определения актуальных угроз.
— Автоматизация процесса формирования перечня возможных угроз.
— Доработка БДУ.
ТБ-Форум 2022. Конференция «Актуальные вопросы защиты информации». И. Гефнер:
Доклад на тему «Практика реализации методики оценки угроз безопасности информации».
Соотношение потенциала нарушителей (из БДУ) и уровня возможностей нарушителя (из Методики):
• Базовый (БДУ) — Базовый (Методика).
• Средний (БДУ) — Базовый с повышенными возможностями или средний (Методика).
• Высокий (БДУ) — Высокий (Методика).
Доклад на тему «Практика реализации методики оценки угроз безопасности информации».
Соотношение потенциала нарушителей (из БДУ) и уровня возможностей нарушителя (из Методики):
• Базовый (БДУ) — Базовый (Методика).
• Средний (БДУ) — Базовый с повышенными возможностями или средний (Методика).
• Высокий (БДУ) — Высокий (Методика).
⚡️ ТБ-Форум 2022. Конференция «Актуальные вопросы защиты информации». И. Гефнер:
Доклад на тему «Практика реализации методики оценки угроз безопасности информации».
Модель угроз безопасности информации должна иметь ограничительную пометку.
Доклад на тему «Практика реализации методики оценки угроз безопасности информации».
Модель угроз безопасности информации должна иметь ограничительную пометку.
Документальное сопровождение процесса лицензирования ФСБ России
Официально опубликован приказ ФСБ России от 31.01.2022 № 35 «Об утверждении форм документов, используемых Федеральной службой безопасности Российской Федерации в процессе лицензирования в соответствии с Федеральным законом от 4 мая 2011 г. № 99-Ф3 «О лицензировании отдельных видов деятельности», который, в том числе, утверждает оценочные листы, применяемые при осуществлении оценки соответствия соискателей (лицензиатов) лицензионным требованиям, например, на соответствие ПП-313.
Официально опубликован приказ ФСБ России от 31.01.2022 № 35 «Об утверждении форм документов, используемых Федеральной службой безопасности Российской Федерации в процессе лицензирования в соответствии с Федеральным законом от 4 мая 2011 г. № 99-Ф3 «О лицензировании отдельных видов деятельности», который, в том числе, утверждает оценочные листы, применяемые при осуществлении оценки соответствия соискателей (лицензиатов) лицензионным требованиям, например, на соответствие ПП-313.
Консультативный совет при уполномоченном органе по защите прав субъектов ПДн и методические рекомендации по обработке биометрических ПДн
Роскомнадзор информирует о результатах недавно состоявшегося заседания консультативного совета при уполномоченном органе по защите прав субъектов персональных данных, в ходе которого были озвучены итоги деятельности Роскомнадзора по защите прав граждан в области персональных данных за 2021 год.
• В рамках государственного контроля за соответствием обработки персональных данных требованиям законодательства ведомством проведено почти 4000 контрольных мероприятий, в 80% случаев найдены нарушения требований к обработке персональных данных.
• За год составлено 225 протоколов об административных правонарушениях в области персональных данных, в основном за незаконную обработку персональных данных или за неуничтожение таких незаконно обрабатываемых данных.
Также члены Консультативного совета обсудили проблемные вопросы применения положений законодательства о персональных данных, а также применения в деятельности операторов рекомендаций совместного информационного письма Роскомнадзора и Банка России в части требований к обработке персональных данных граждан финансовыми организациями.
⚠️ По итогам заседания было принято решение создать рабочую группу в рамках совета по разработке методических рекомендаций Роскомнадзора операторам по вопросу обработки биометрических персональных данных.
Источник: https://rkn.gov.ru/news/rsoc/news74068.htm
Роскомнадзор информирует о результатах недавно состоявшегося заседания консультативного совета при уполномоченном органе по защите прав субъектов персональных данных, в ходе которого были озвучены итоги деятельности Роскомнадзора по защите прав граждан в области персональных данных за 2021 год.
• В рамках государственного контроля за соответствием обработки персональных данных требованиям законодательства ведомством проведено почти 4000 контрольных мероприятий, в 80% случаев найдены нарушения требований к обработке персональных данных.
• За год составлено 225 протоколов об административных правонарушениях в области персональных данных, в основном за незаконную обработку персональных данных или за неуничтожение таких незаконно обрабатываемых данных.
Также члены Консультативного совета обсудили проблемные вопросы применения положений законодательства о персональных данных, а также применения в деятельности операторов рекомендаций совместного информационного письма Роскомнадзора и Банка России в части требований к обработке персональных данных граждан финансовыми организациями.
⚠️ По итогам заседания было принято решение создать рабочую группу в рамках совета по разработке методических рекомендаций Роскомнадзора операторам по вопросу обработки биометрических персональных данных.
Источник: https://rkn.gov.ru/news/rsoc/news74068.htm
Forwarded from Пост Лукацкого
Задал я тут Минцифре официальный вопрос о том, надо ли аккредитовываться компаниям, которые:
- используют СКУДы с идентификацией и аутентификацией по лицу
- используют пропуска с фотографией сотрудников и посетителей, которые затем проверяются на входе
- используют отпечатки пальцев для аутентификации в ноутбуках.
Запросов было отправлено три, ответ получен всего один; размытый донельзя. Видно, что Минцифры очень не хочет давать четкий и однозначный ответ на простые вопросы, так как этот ответ повлечет за собой очень много разных и серьезных последствий, которые просто никто, как обычно, не оценивал при принятии поправок в ФЗ-149. Не хочется так думать, но судя по всему, для всех трех описанных выше ситуаций нужна аккредитация в Минцифре для обработки биометрических персональных данных.
Как интегрировать проверку отпечатков пальцев в ноутбуке с ЕБС я даже и не знаю 😞
- используют СКУДы с идентификацией и аутентификацией по лицу
- используют пропуска с фотографией сотрудников и посетителей, которые затем проверяются на входе
- используют отпечатки пальцев для аутентификации в ноутбуках.
Запросов было отправлено три, ответ получен всего один; размытый донельзя. Видно, что Минцифры очень не хочет давать четкий и однозначный ответ на простые вопросы, так как этот ответ повлечет за собой очень много разных и серьезных последствий, которые просто никто, как обычно, не оценивал при принятии поправок в ФЗ-149. Не хочется так думать, но судя по всему, для всех трех описанных выше ситуаций нужна аккредитация в Минцифре для обработки биометрических персональных данных.
Как интегрировать проверку отпечатков пальцев в ноутбуке с ЕБС я даже и не знаю 😞
Пост Лукацкого
Задал я тут Минцифре официальный вопрос о том, надо ли аккредитовываться компаниям, которые: - используют СКУДы с идентификацией и аутентификацией по лицу - используют пропуска с фотографией сотрудников и посетителей, которые затем проверяются на входе - используют…
📎В дополнение к посту Алексея Лукацкого прикладываю ещё один ответ Минцифры по теме биометрии.
🧐Особое внимание привлёк заключительный абзац.
Спасибо подписчику В.Корелиной за предоставленный материал.
🧐Особое внимание привлёк заключительный абзац.
Спасибо подписчику В.Корелиной за предоставленный материал.
Листок бюрократической защиты информации
📎В дополнение к посту Алексея Лукацкого прикладываю ещё один ответ Минцифры по теме биометрии. 🧐Особое внимание привлёк заключительный абзац. Спасибо подписчику В.Корелиной за предоставленный материал.
Назревает коллизия?
https://xn--r1a.website/Persdata/4664
https://xn--r1a.website/Persdata/4664
Telegram
Персональные_данные
Минспорта подготовило проект постановления, которое предполагает оснащение стадионов системой видеонаблюдения для биометрической идентификации болельщиков.
Зрителей же хотят обязать проходить идентификацию и аутентификацию по FanID и не только.
Между тем…
Зрителей же хотят обязать проходить идентификацию и аутентификацию по FanID и не только.
Между тем…
🖋Вредные советы: оформляем согласие на обработку персональных данных
Помните книгу «Вредные советы» Г.Остера? Вот и преподаватель Moscow Digital School и DPO, старший юрист компании Joom Олег Блинов решил поделиться вредными советами на тему «Как оформить согласие на обработку персональных данных?»:
1. Впишите все согласия в политику конфиденциальности. Пусть пользователь разбирается сам.
2. В мобильном приложении запросите все разрешения на доступ сразу при запуске. Главное – не объясняйте, зачем они вам.
3. Не давайте пользователю зарегистрироваться, пока он не согласится на рекламную рассылку. Сам потом поблагодарит.
4. Пишите просто «вы даете согласие на обработку данных». Никаких пояснений.
5. Согласие нужно брать сразу на 50 лет. А если проект большой – на 70.
6. В согласии должно быть как можно больше юридических терминов. Оно же для Роскомнадзора, а не для пользователей.
Делаете так? 😏 Надеюсь, что нет.
А как правильно юристу работать с данными и какие навыки для этого нужны, можно узнать на новом потоке курса «Юрист по работе с данными» от Moscow Digital School.
Старт потока: 24 марта.
⚠️ Внимание! Обучение платное, но ещё можно успеть записаться на курс со скидкой 10% по промокоду: «BUREAUCRATICSECURITY».
➡️ Подробнее узнать о курсе и подать заявку на обучение можно здесь.
Помните книгу «Вредные советы» Г.Остера? Вот и преподаватель Moscow Digital School и DPO, старший юрист компании Joom Олег Блинов решил поделиться вредными советами на тему «Как оформить согласие на обработку персональных данных?»:
1. Впишите все согласия в политику конфиденциальности. Пусть пользователь разбирается сам.
2. В мобильном приложении запросите все разрешения на доступ сразу при запуске. Главное – не объясняйте, зачем они вам.
3. Не давайте пользователю зарегистрироваться, пока он не согласится на рекламную рассылку. Сам потом поблагодарит.
4. Пишите просто «вы даете согласие на обработку данных». Никаких пояснений.
5. Согласие нужно брать сразу на 50 лет. А если проект большой – на 70.
6. В согласии должно быть как можно больше юридических терминов. Оно же для Роскомнадзора, а не для пользователей.
Делаете так? 😏 Надеюсь, что нет.
А как правильно юристу работать с данными и какие навыки для этого нужны, можно узнать на новом потоке курса «Юрист по работе с данными» от Moscow Digital School.
Старт потока: 24 марта.
⚠️ Внимание! Обучение платное, но ещё можно успеть записаться на курс со скидкой 10% по промокоду: «BUREAUCRATICSECURITY».
➡️ Подробнее узнать о курсе и подать заявку на обучение можно здесь.
Тестирование на уязвимости систем головного удостоверяющего центра
Минцифры начинает модернизацию головного удостоверяющего центра.
Минцифры начинает модернизацию головного удостоверяющего центра.
Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации
Минцифры начинает модернизацию головного удостоверяющего центра
🔍 Индикаторы риска нарушений в сфере идентификации и (или) аутентификации
Официально опубликован приказ Минцифры от 06.12.2021 № 1308 «Об утверждении перечня индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) в сфере идентификации и (или) аутентификации».
Официально опубликован приказ Минцифры от 06.12.2021 № 1308 «Об утверждении перечня индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) в сфере идентификации и (или) аутентификации».
🖋 Индикаторы риска нарушений в сфере электронной подписи
Официально опубликован приказ Минцифры от 07.12.2021 № 1312 «Об утверждении перечня индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) в сфере электронной подписи».
Официально опубликован приказ Минцифры от 07.12.2021 № 1312 «Об утверждении перечня индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) в сфере электронной подписи».
🏥 МИАЦ и ИБ
Министерство здравоохранения Российской Федерации подготовило и представило для общественного обсуждения проект типового положение о медицинском информационно-аналитическом центре, определяющее основные функции (задачи) МИАЦ, к которым, например, в части информационной безопасности относятся:
• Методическое сопровождение деятельности по защите информации, в том числе персональных данных, обрабатываемых в ИС медицинских организаций, ГИС в сфере здравоохранения.
• Методическое сопровождение деятельности по обеспечению безопасности ОКИИ в сфере здравоохранения.
Для реализации функций (задач) МИАЦ по ИБ достаточно 3-х человек.
Министерство здравоохранения Российской Федерации подготовило и представило для общественного обсуждения проект типового положение о медицинском информационно-аналитическом центре, определяющее основные функции (задачи) МИАЦ, к которым, например, в части информационной безопасности относятся:
• Методическое сопровождение деятельности по защите информации, в том числе персональных данных, обрабатываемых в ИС медицинских организаций, ГИС в сфере здравоохранения.
• Методическое сопровождение деятельности по обеспечению безопасности ОКИИ в сфере здравоохранения.
Для реализации функций (задач) МИАЦ по ИБ достаточно 3-х человек.
Коллеги из BI.ZONE приглашают на вебинар «Автоматизируем обработку персональных данных с BI.ZONE Compliance Platform».
Мероприятии будет посвящено построению работы с персональными данными:
• Как построить автоматизированный процесс обработки ПДн и сэкономить 40% времени на рутинных задачах.
• Как создать модель угроз по новой методике ФСТЭК России, не закапываясь в документы.
• Ну и немного промо о том, как BI.ZONE Compliance Platform помогает с этими задачами.
⚠️ Вебинар бесплатный и состоится 3 марта (четверг) с 11:00 до 12:30 (мск).
⚠️ Обязательна предварительная регистрация.
Мероприятии будет посвящено построению работы с персональными данными:
• Как построить автоматизированный процесс обработки ПДн и сэкономить 40% времени на рутинных задачах.
• Как создать модель угроз по новой методике ФСТЭК России, не закапываясь в документы.
• Ну и немного промо о том, как BI.ZONE Compliance Platform помогает с этими задачами.
⚠️ Вебинар бесплатный и состоится 3 марта (четверг) с 11:00 до 12:30 (мск).
⚠️ Обязательна предварительная регистрация.
Forwarded from Об ЭП и УЦ
Подписаны 3 постановления Правительства по МЧД
Постановление Правительства Российской Федерации от 21.02.2022 № 222 "Об утверждении Правил представления заинтересованным лицам документа о полномочиях физического лица в случае, предусмотренном частью 2 статьи 17.1 Федерального закона "Об электронной подписи"
Постановление Правительства Российской Федерации от 21.02.2022 № 223 "Об утверждении организационно-технических требований к порядку хранения, использования и отмены указанных в статьях 17.2 и 17.3 Федерального закона "Об электронной подписи" доверенностей"
Постановление Правительства Российской Федерации от 21.02.2022 № 224 "Об утверждении требований к нормативным правовым актам федеральных органов исполнительной власти, устанавливающим порядок представления доверенности в предусмотренном пунктом 2 части 1 статьи 17.2 Федерального закона "Об электронной подписи" случае, и требований к порядку представления доверенности в предусмотренном пунктом 2 статьи 17.3 Федерального закона "Об электронной подписи"
Постановление Правительства Российской Федерации от 21.02.2022 № 222 "Об утверждении Правил представления заинтересованным лицам документа о полномочиях физического лица в случае, предусмотренном частью 2 статьи 17.1 Федерального закона "Об электронной подписи"
Постановление Правительства Российской Федерации от 21.02.2022 № 223 "Об утверждении организационно-технических требований к порядку хранения, использования и отмены указанных в статьях 17.2 и 17.3 Федерального закона "Об электронной подписи" доверенностей"
Постановление Правительства Российской Федерации от 21.02.2022 № 224 "Об утверждении требований к нормативным правовым актам федеральных органов исполнительной власти, устанавливающим порядок представления доверенности в предусмотренном пунктом 2 части 1 статьи 17.2 Федерального закона "Об электронной подписи" случае, и требований к порядку представления доверенности в предусмотренном пунктом 2 статьи 17.3 Федерального закона "Об электронной подписи"
publication.pravo.gov.ru
Постановление Правительства Российской Федерации от 21.02.2022 № 222 ∙ Официальное опубликование правовых актов
Постановление Правительства Российской Федерации от 21.02.2022 № 222
"Об утверждении Правил представления заинтересованным лицам документа о полномочиях физического лица в случае, предусмотренном частью 2 статьи 17.1 Федерального закона "Об электронной подписи"
"Об утверждении Правил представления заинтересованным лицам документа о полномочиях физического лица в случае, предусмотренном частью 2 статьи 17.1 Федерального закона "Об электронной подписи"